Un moteur de recherche est un responsable de traitement soumis aux obligations de la protection des données personnelles

//Un moteur de recherche est un responsable de traitement soumis aux obligations de la protection des données personnelles

Un moteur de recherche est un responsable de traitement soumis aux obligations de la protection des données personnelles

Par | 2014-05-22T18:14:44+02:00 mai 22nd, 2014|Actualité|

La Cour de justice de l’Union européenne (CJUE) a rendu le 14 mai 2014 une décision[1], considérée par beaucoup comme importante, sur l’application du statut de responsable de traitement de données personnelles.

Cette décision fait suite à un renvoi préjudiciel de l’Audencia Nacional, un haut tribunal espagnol. Un particulier avait attaqué devant l’Agencia Española de Protección de Datos (AEPD), autorité de protection des données, un journal en ligne dont deux articles parus en 1998 évoquaient ses difficultés financières personnelles. Son action visait également la société Google, dont le moteur de recherche affichait des liens renvoyant vers ces articles. Rejetant la réclamation visant le journal, l’AEPD accueille celle à l’encontre du moteur de recherche en se fondant sur le fait que l’indexation vise des informations personnelles anciennes qui ne sont plus pertinentes. Arguant qu’un moteur de recherche ne fait qu’indexer des adresses de contenus mis à disposition par des tiers, Google s’oppose à toute suppression. Pour l’AEPD, son service d’index automatiquement constitué pourrait relever du statut de responsable de traitement au sens de la directive de 95/46[2].

Le litige entre l’autorité espagnole et Google est porté devant l’Audencia Nacional, laquelle sursoie à statuer en saisissant la CJUE. Bien que l’avocat général se soit rallié à la position de Google, la Cour de justice reconnaît aux particuliers un droit à l’effacement des données personnelles les concernant indexées par un moteur de recherche. Le raisonnement de la CJUE se fait en deux temps : lors de l’indexation de sites internet contenant des données personnelles, la société Google est responsable de traitement au sens de la directive 95/46 ; elle doit donc accueillir toute demande de suppression fondée sur un motif légitime.

Google, responsable de traitement de données personnelles

Suite à des opérations automatiques de recherche, d’indexation, de stockage ou encore de tri, le moteur de recherche de Google affiche des liens ainsi qu’un extrait du contenu de sites tiers. Ces informations sont ensuite mises à disposition des utilisateurs du service de recherche de Google. La Cour de Justice identifie ces opérations comme un traitement de données à caractère personnel au sens de l’article 2 b) de la directive 95/46. En effet, cet article indique que constitue un tel traitement « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés (…), telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, (…) ».

De plus, et conformément à l’article 2 d) de la directive, la société Google doit être considérée comme responsable de ce traitement en ce qu’elle en détermine les finalités et moyens. Si la société Google Inc. exploite le moteur de recherche Google Search, elle détient un établissement en Espagne, Google Spain, qui, en vendant des espaces publicitaires s’affichant dans Google Search, est donc bien un établissement de la société mère traitant les données apparaissant dans le moteur de recherche. Tout responsable de traitement doit veiller au respect des normes en matière de protection des données personnelles. En pratique, ces obligations se matérialisent par l’information des personnes dont les données sont traitées ainsi qu’en leur permettant l’accès, la rectification ou l’opposition.

Cet arrêt s’inscrit dans un contexte où l’Europe et les États membres semblent enfin reprendre en main la question des données. Même si la réforme du cadre européen de la protection des données personnelles se fait attendre, la CJUE se plaît à rappeler la valeur des données personnelles ainsi que le niveau de protection dont elles devraient faire l’objet. Par cet arrêt, elle effectue un rappel — apparemment nécessaire — des règles applicables au sein des États membres. De même, dans un autre arrêt récent[3], la Cour a invalidé la directive d’harmonisation des obligations de conservation des données du fait de l’ingérence non limitée au strict nécessaire.

Le droit à la suppression pour motif légitime des données traitées

En tant que responsable d’un traitement de données personnelle, Google est donc débiteur d’un certain nombre d’obligations, dont le droit d’accès. Ce droit d’accès posé par l’article 12 de la directive 95/46, permet à toute personne concernée d’obtenir, sans contrainte, la confirmation que ses données sont ou ne sont pas traitées, la communication de celles-ci ou encore leur rectification ou effacement si le traitement n’était pas conforme à la directive. Ainsi, la CJUE relève en ce fondant sur l’article 12 b) de la directive que l’effacement de données personnelles peut être demandé lorsque celles-ci sont « inexactes, (…) inadéquates, non pertinentes ou excessives au regard des finalités du traitement, (…) ne sont pas mises à jour ou (…) sont conservées pendant une durée excédant celle nécessaire, à moins que leur conservation s’impose à des fins historiques, statistiques ou scientifiques ». La Cour poursuit en rappelant que l’article 6 de la directive prend en compte le traitement initialement licite qui devient illicite du fait du temps. Il nous semble que la Cour de justice ne consacre pas un droit à l’oubli mais qu’elle rappelle les règles de la directive 95/46, laquelle paraît bien s’appliquer aux évolutions récentes et aux besoins contemporains, et ce malgré son ancienneté et son futur remplacement.

Toutefois, les moteurs de recherche, alors responsables de traitement, et les éventuelles juridictions nationales qui auront à connaître de telles demandes d’effacement devront considérer la suppression à la lumière de « l’intérêt du public à recevoir cette information », lequel s’apprécie notamment en fonction de la place de la personne dans la vie publique. Une personne relativement connue ne pourrait donc pas fonder une demande de suppression d’informations la concernant si le public possédait un réel intérêt à en avoir connaissance. Cette confrontation de différentes libertés fondamentales semblerait ainsi pouvoir empêcher les abus et la censure. Il conviendra d’observer la mise en pratique, Google prévoyant déja de mettre en place un outil spécifique[4].

Cette décision n’a pas laissé indifférent et la qualification du droit relevé par la Cour de droit à l’oubli a été débattue. Dans son intéressante analyse[5], Alain Bensoussan y voit la consécration par la CJUE d’un véritable droit à l’oubli, annonçant l’arrivée du règlement général sur la protection des données personnelles[6], tandis que Marc Rees n’y voit que la stricte application du règlement 95/46[7]. Jugeant le principe consacré dans l’arrêt comme dangereux, l’ONG Reporters Sans Frontières considère que cette jurisprudence pourrait permettre de censurer une partie de l’internet ou, à tout le moins, de contrôler strictement les informations y circulant[8]. Le professeur Jonathan Zittrain critique également la décision en ce qu’elle tendrait à créer un internet européen contrôlé et coupé du reste du monde, tout en imposant aux acteurs de l’économie numérique une obligation de censure bien trop contraignante[9]. Pour Christiane Féral-Schuhl, les questions soulevées par cet arrêt sont nécessaires et il est urgent de trouver un équilibre entre droit à l’oubli et droit à l’histoire[10].

 

Benjamin Benifei

 

1: http://curia.europa.eu/juris/document/document.jsf?doclang=FR&text=&pageIndex=0&part=1&mode=DOC&docid=152065&occ=first&dir=&cid=217775

2: http://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX%3A31995L0046

3: http://curia.europa.eu/jcms/upload/docs/application/pdf/2014-04/cp140054fr.pdf

4: http://www.journaldunet.com/solutions/seo-referencement/droit-a-l-oubli-etre-deference-dans-google-0514.shtml

5: http://www.alain-bensoussan.com/oubli-numerique/2014/05/14/

6:http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:FR:PDF

7: http://www.nextinpact.com/news/87498-face-a-google-justice-europeenne-reconnait-droit-a-l-effacement.htm

8: http://fr.rsf.org/union-europeenne-affaire-costeja-contre-google-la-14-05-2014,46277.html

9: http://www.nytimes.com/2014/05/15/opinion/dont-force-google-to-forget.html?_r=1

10: http://www.01net.com/editorial/619752/droit-l-oubli-la-decision-de-la-cjue-inquiete-les-defenseurs-du-net/

 

Benjamin Benifei